Comments 98
МЭШ ужасен, я не знаю кто его делал, но это очень странный сайт. Первый месяц он стабильно не работает. Периодически не открывается. Скачет между доменами school и dnevnik. Из-за рубежа не открывается через mos.ru, но если зайти через прямую ссылку dnevnik.mos.ru, то открывается.
С эжд всю жизнь был какой то головняк, у нас даже была такая шутка про то что их сервера на хомяках работают. Самые веселые дни были когда в Московских школах было дистанционное обучение и эжд задыхаясь от наплыва юзеров не мог генерировать ссылки на Microsoft teams. В один день даже сам себя на мысли поймал, что очное обучение менее геморно чем дистанционное (в таком формате)
Не открывается из за рубежа, потому, что московское правительство очень боится хакеров из за этих самых, как его, зарубежей.
Вообще там все весело. Постоянная работа в ручном режиме. Постоянные "улучшения" "улучшений". Кроме этого, теперь оплату учителям подрезали, буквально в октября. Раньше за работу с МЭШ давали надбавку 10 тысяч и надбавку давала администрация. Теперь машина проверяет процент исполнения: внесение домашних заданий, учебных планов и т.д. По итогам идет выплата. В результате в октябре из из 96 человек выплату получили 14. Многие выполнили квест по заполнению учебных планов, причем неоднократно, так как заполнив планы, ты не можешь быть уверен, что, завтра после очередного улучшения журнала, они не слетят. Но! система считает что ты справился на 98 процентов и прощай выплата.
Facepalm.jpg
Чему тут удивляться? И от чего больше офигевать: от того, что на одном из сайтов для государственных БЕСПЛАТНЫХ школ(а деньги на содержание идут из налогов граждан), нужно платить, чтобы посмотреть дз, или что другой сайт написан... Профессионально.
Вроде, платить надо только за мобильную версию. Что тоже странно, но не окончательно дико. Только частично дико.
Потому что платные кружки в бесплатных школах можно объяснить повышенными человеко-часами учителей. А тут что повышенное, не понятно. Один раз мобильный лейаут добавили, и вроде всё.
Похоже, мем "русские хакеры" слегка устарел, ему на смену пришли "московские школьники". Рад за свой город.
Помню, ещё во времена введения дневник.ру году эдак в 2009ом подобрал пароль одного из учителей и ознакамливался с интересной доступной только им статистикой :)
Вот что-что, а самом деле ожидаемо... Если так по-честному говорить, то mos.ru тоже массу проблем имеет, но там скорее про скорость работы сервисов. Сейчас в целом возросла необходимость как создавать новое ПО, так и улучшать старое. Возможно, в скором времени эти же московские школьники решат эту проблему. Только для начала в школах нужно выделить технологические классы и привлекать преподавателей по программированию вместо нынешних информатиков, которые учат открывать Word и калькулятор (опять-таки речь идёт о преподавателях в технологических классах; в общеобразовательных достаточно и примитивного умения пользования ПК). Разумеется, выделять ЗП для преподавателей-программистов будет дороже, но уверен, что всем, кто хочет перейти в условный технологический класс, будет интереснее проходить азы программирования и уже в 8-9 классах что-то знать и уметь.
Слышал, что сейчас в московских школах открываются/открылись технологические классы и в целом развивается IT сфера среди школьников. Надеюсь, дойдёт и до других городов, и для многих интересующихся юных программистов уроки станут интереснее!
Да, действительно открываются классы. Но они, мягко говоря, не очень. Популяризация IT среди молодежи это прекрасно! Но, опять же, это нужно делать грамотно.
Закончил школу в далеком 2005, и смотря сейчас на людей которые не знаю сочетание ctrl+f, и нумерацию в excel набивают через клавиатуру 1 2 3 ... n а не растягиванием, android называют броузером. Искренне недоумеваю, за чем нас на уроках информатики учили паскалю )))) А с тех пор как моя жена захотела войти в it и записалась на курс тестировщика, удивился когда не нашел нормальной книжки по основам компьютерной грамотности... А тут учителя программисты говорили они...
А для популяризации программирования есть довольно много школ робототехники для тех кому это действительно интересно.
К сожалению эжд не развивается и баги не чинятся. Скорее всего он был заказан у команды разработчиков на системе госзакупок как готовый продукт. Заказ сдали вместе с багами, а вот чинить их не кому к сожалению.
Так держать :) Больше ИТ стартапов для школьников :) Даешь новых Илонов Масков в московских средних школах :)
К сожалению, работая техником-программистом и учителем информатики в школе, могу с уверенностью заявить: электронный журнал - это словно башня дженга, в которой если хоть что-то поменяется, то всё сразу упадёт. Сам по себе, эл.журнал очень удобная вещь, но очень нестабильная и неустойчивая. Иногда упадёт, иногда лагает. В час пики (часа в 2-3) так вообще пиши-пропало.
Буквально недавно случилась ситуация: в один прекрасный день, у четверти учителей в школе перестал логиниться их аккаунт. Сразу понял в чём проблема: логиниться перестало у тех, у кого на ноутбуках установлена WinXP. Написал в поддержку, где те ответили, что "знают о данной проблеме и сроков её решения пока нет" посоветовали сменить браузер (хотя я сразу всё протестил на Yandex, Mozilla и даже на древнем IE (со сменой протоколов и настроек)), или ждать решения проблемы и пользоваться Android-приложением.
Уже прошло 2 месяца. Проблему так и не решили. И никаких новостей по ней нет.
Сама идея того, что кто-то пустил по одному месту работу журнала на самой распространенной системе в учебных заведениях пугает. Ладно в школе где я работаю - тут ещё всё более менее хорошо с оборудованием, и всё переводится на Win10-11, но в других школах города и тем более в сельских - там скорее всего вовсе случился коллапс.
По моим впечатлением - так сделана вся state-driven цифровизация образования, включая даже условно-коммерческое издательство "Просвещение".
Просвещение - коммерческое издательство с оборотами (на память) 15 млрд.
Оно условно негосударственное - контрольный пакет в руках компаний, контролируемых государством.
Государство выгодно продало его лет 20 назад за 2 млрд., а недавно выгодно купило за условные 100 млрд. "на разницу и живут" успешные покупатели за 2.
В операционной системе поддержка которой завершена 13 лет назад что-то не работает? Да неужели. И эти люди учат детей.
А причем тут учитель позвольте спросить? или это он занимается внедрением оборудования? что есть на том учат. Меня больше удивляет как поделки неучей внедряются в жизнь. Как рождается это недоразумение под названиями "Электронный дневник", "Олимпиады" и прочее .... Такое ощущение что берут школьников и говорят надо сделать, поставлю 5 и потом на это в принудительном порядке подсаживают школы. И тут даже не качество реализации (в очень редких местах оно достойное), а просто в логике работы (последнее где я плевался - нужно было на очередном сайте по олимпиадам подкорректировать данные своих детей. Алгоритм следующий - заходим под учеткой родителя, сбрасываем пароль ребенка на свою почту, логинемся под ребенком, меняем данные школы, дальше по циклу по количеству детей. То есть возможность редактирование школы и класса есть у ребенка, но не у родителя или классного руководителя класссссс!)
Тут проблема в том, что машинам на ХР вообще вызод в интернет разрешён, и почему в этих школах до сих пор ничего новее нет (даже семёрки, которая тоже уже не поддерживается). Так то где-то наверное и 98SE можно найти. Но это не к учителям вопросы.
Ещё раз, что? Сбрасываем пароль на почту? То есть, приходит текущий активный пароль?
Какое мудрое замечание. А под вин11 эти люди будут во сколько раз учить детей лучше?
Есть такая вещь, как "финансирование" и "бюджет". И у образовательных учреждений он разный. Легко сидеть и говорить о том, что где-то что-то не работает, потому что старое. Что есть на том и работают в школах. Поэтому сидеть и удивляться тому, что за 13 лет так и не заменили все 100% компьютеров в каждой школе страны - бессмысленно. Где-то вовсе пластиковых окон нету до сих пор, и туалеты не туалеты, а дырка в полу.
Чисто физически поставить Win10 на их старенький Lenovo с i3 380M 11 года я не смогу, в итоге и остаётся только сидеть и ждать альтернатив и финансирования. И так во всех школах.
А чем плоха обратная совместимость? Там же не закрытие какого то критичного бага в новых системах сломало работу. Используют хп, значит бережливо относятся к ресурсам, и это хорошо.
На ХР скорее всего не работает из за просроченных сертификатов или отстуствия "современных" алгоритмов в HTTPS.
Почему "школьники" взломали? уже поймали что ли?
Хороший вопрос, на самом деле. Мне что-то кажется, что не школьники, а неглупые взрослые люди, наверняка имеющие отношение к обслуживанию этой системы.
Ошибку нашли школьники, библиотеку написали школьники, уязвимость починили разработчики МЭШ. Никто никого не ловил)
Так откуда узнали кто нашел, кто написал библиотеку, если никого не поймали?
Разработчики бота Y выложили свой код в открытый доступ и зарепортили уязвимость разработчикам.
Вот откуда :)
А где в фразе "Разработчики бота Y выложили свой код в открытый доступ и зарепортили уязвимость" указание на школьников? Я вижу "разработчики бота". а кто именно "разработчики бота" не указано. Рептилойды с планеты Нибиру тоже вполне вариант
Вы везде пишите про некоторых школьников. Но откуда Вы знаете кто все это писал (пусть и криво?) Вы папа одного из них?
Чтобы однозначно знать, что это школьники, это надо быть либо близко знакомыми с этими взломщиками, либо присутствовать при явке с повинной (до суда наверно не дошло)
Да не, рептилойдам такое не надо. Уязвимость нашли дети, библиотеку и бота написали они же. Я хотел взять интервью у авторов, но они отказались. Можете глянуть GitHub автора библиотеки, там указан его возраст
Уязвимость нашли дети
откуда инфа?
Библиотеку и бота написали они же.
откуда инфа? Почему не Вы?
Где мне искать гитхаб?
Все обвинение школьников строится на том, что Вы нашли гитхаб и там указан возраст одного (совсем одного) человека. Но при этом "школьники". А почем не школьник, тогда уж? Чтоб собственно мешает какому-нить питон-синьеру помочь своему сыну сдавать экзамены, выложив под его именем на гитхабе ?
Выше есть комментарий со ссылкой на GitHub. В этом репозитории ответы на все ваши вопросы. Чуточку OSINTа и вы все найдете. Я уверен, у вас получится :)
Вопрос про python seniorа не очень понял, причем тут экзамены? Речь о библиотеке на гитхабе, как она поможет с экзаменами?
Выше есть комментарий со ссылкой на GitHub.
Нет такого комментария. Я даже код страницы посмотрел
Чуточку OSINTа и вы все найдете
Обязанность доказывать лежит на утверждающем. Мне то зачем искать. Это Вы пишете "школьники", а не я. Я просто спрашиваю "какие Ваши доказательства"
Да, коммента нет, странно, удалили видимо ¯_(ツ)_/¯
Я писал статью не с целью что-либо доказать, а с целью рассказать про случай. Да и никто не обязывал меня ничего доказывать :) Если вам интересна дальнейшая история и весь набор инфы по этому поводу, а не только выводы, можете написать мне, я скину все ссылки на которых искал информацию. Может даже свою статью напишете, лучше моей, я буду очень рад посмотреть!
Опять же, 3 минуты в гугле дадут вам ответы на все ваши вопросы. Очень жаль что удалили дискуссию выше, там человек возмущался по поводу красоты кода и речь шла о том, что код явно не сеньорский.
Когда в Шотландии вводили нечто вроде удалённого ЕГЭ, результаты были парадоксальны: диктанты мальчиков оказались грамотнее, чем девочек.
Оказалось, мальчики чаще догадывались включать в браузере проверку орфографии.
Я ещё в докомпьютерную эпоху журнал хакнул. Можно было зайти в учительскую и поставить себе отметки о посещении практики, пока никого из учителей в комнате нет.
Какие-то умные школьники получаются)) или им кто-то помогал.
Скрипт на Python написали, и не просто ведь угадали логин \ пароль, а еще и в json данные туда-сюда.
Это не так сложно, многие школьники которым интересно программирование учатся дополнительно во всяких школах. В некоторых даже есть курс по CTF и кибербезопасности, так что ничего в этом удивительного нет. Ребята молодцы!
Они безусловно молодцы! И курсы такие есть, но в школах Python не дают, к сожалению. Я это говорю к тому, что такие ребята в школах встречаются редко, но бывает. Либо у одного из них есть брат\друг, который и помог написать код за процент.
Почему, в школах есть Python. В Москве точно, ЧУДО "Школа Программистов" в партнерстве с некоторыми школами преподает ребятам в 10/11 классах Python, networking и еще кучу других важных предметов. Но это скорее исключение, чем правило. Хотелось бы видеть такие инициативы почаще.
Это отдельные несколько школ, то есть в среднем количество таких школ на уровне погрешности. И это конечно же плохо, но речь не про это.
Ну не все так плохо. Да и смысла в этом не так много. Мне кажется что было бы глупо вводить Python или любой другой ЯП в школе. Этому надо учиться на доп. занятиях. А вот рекламировать эти доп. занятия и делать их максимально доступными надо бы.
Меня в школе учили программировать на TurboPascal и я считаю, что вместо него лучше давать Python, но опять же, это всё будет нужно и интересно только отдельным ученикам.
Он простой, а когда у них сразу начнет получаться - они заинтересуются, поймут некую логику программирования и начнут изучать глубже его или другой язык.
Я всё это вёл к тому, что по России таких доп курсов мало и учеников, которые знают Python в общем счете мало. По крайней мере в Красноярске.
Ну мне кажется это надо давать только тем, кому интересна информатика или программирование. Если я сдаю географию на ЕГЭ и иду на геолога, мне не очень нужен Python. А вот основы компьютерной грамотности полезны любому.
У меня сын сперва с питоном в кванториуме познакомился (хотя сам питон не давали, предполагалось, что дети его знают - я ему давал ссылку на онлайн-курс питона тогда), потом в школе проходили. До этого у них в школе был паскаль, сейчас плюсы. Да, маткласс лицея, но город - даже не миллионер (да и школа не первая в городе уже).
Паскаль мозги в порядок, нужный для понимания алгоритмов и их реализации, приводит.
В целом вы ошибаетесь, в настоящий момент в Москве Python является самым распространённым языком в школах. Эпоха паскаля заканчивается.
Ключевое слово в Москве
На самом деле не только в Москве, а уже везде. Вот статистика по языка программирования на школьном этапе всероссийской олимпиады школьников по информатике по регионам в 2021 году:
Если хотите файл в формате Excel, нужно нажать на кнопку "Скачать", но и так числа видны.
https://u.pcloud.link/publink/show?code=XZeaGOXZ26yKjRrToi0Ydv5h1liLRHqCJQBy
Последним главным двигателем Python стал Яндекс-лицей.
Слушайте, я по долгу службы постоянно отсматриваю код опен сорса и хочу сказать, что у ребят больно структурированный код, логичный и чистый. Либо они прям дарования, либо им помогали.
Сейчас в школах и вправду активно внедряют питон, как минимум, в физмат Наверное, потому что Паскаль и его аналоги уже морально сильно устарели. Даже в учебниках был Паскаль или Питон. Действо было в Волгограде
Вообще из статьи непонятно откуда пришла информация что взломали школьники. Школьники пользовались ботом, но кто написал бота информации то нет.
Если я правильно нашел репозиторий, то
17 y.o. student, python/dart dev. founder of openSchool
my name is Dmitriy and I'm a software developer. I'm from cold Russia, my best friends are bears, of course, i play balalaika and drink a lot of vodka :)
Вот вот, код явно не школьники писали, он слишком чистый и логичный для школьников. Даже с учетом наличия курсов по python у школьников, все равно слишком красивый код.
Откуда такие выводы? В момент окончания школы магически выпадает тонна экспы в программировании? А до никак, ветка исследований закрыта?
Изучи внимательно репозиторий, а потом говори. И внимательно посмотри на профили и репозитории трех "школьников", которые это написали, и одного из них реально написано 17 лет, с учетом того когда это было опубликовано и PRO аккаунта другого, и третий тоже не лыком шит. Это не школьники, а студенты.
Кейс, описанный в статье произошел достаточно давно, а люди имеют очень интересное свойство, взросление. Те, кто в 2020 были школьниками в 11 классе сейчас уже учатся в ВУЗе.
Так и репозиторий то когда был опубликован? 2020 год, открываем веб-архив и что видим? ту же надпись.
Помимо этого он с 2020 участвует в "Developer Program Member" на Github и имеет 8 репозиториев. Для примера, "Virtual Bank system" на php, grabber-server на python, свои api на python.
Ну и конечно же школьник добавил libmesh на pypi.
У меня глупый вопрос. Вот вы пишите статью для одного из самых популярных IT-ресурсов в России и странах СНГ, и в ней утверждаете (как минимум в заголовке), что взлома совершили школьники. Вы нашли и изучили репозиторий, но неужели нельзя было написать автору репозитория на гитхаб и спросить его про всё это? Комментарии от автора только добавили бы изюминку в статью, а в случае отказа вы бы ничего не потеряли. Способов связаться с автором репозитория много. Это ведь просто, но вы не сделали элементарного и теперь пытаетесь что-то кому-то доказать. Без обид, просто по факту.
Вы не поверите, но пытался с ним связаться. Я пообщался с одним из соавторов репозитория, но он попросил не публиковать его слова. А оригинальный автор эксплоита, к сожалению, отказал мне в интервью
И с вашей стороны немного странно утверждать о том, что я сделал, а чего не делал. :)
ага, когда посыпалась тонна критики он сразу начал говорить мол это вы не узнали, не спросили, а я то сразу спросил. В ваши слова трудно поверить.
Ну, я и не заставляю верить, в конце концов это ваше дело, читать или не читать, верить или не верить :) Если вам так хочется, напишите мне в телеграм(он указан в профиле на хабре), я вам предоставлю переписку с одним из соавторов. Но публично выкладывать не буду, причину описал выше. Жду вашего сообщения :D
Пусть им на ЕГЭ по информатике 100 поставят) А так, судя по всему, разработчики тоже школьники
Ну 100 по информатике это перебор :) Однако, 5 по информатике они заслужили.
А вот разработчики... Очень странно что в таком, казалось бы, серьезном сервисе такая глупая ошибка. Более того, ее долгое время не замечали, может кто-то успел этим воспользоваться до того как она была опубликована.
За изобретение пять, а по предмету два (с)
Мы тоже недавно нашли и пофиксили ошибку в лаборатории МЭШ. Там правда всё сильно менее критично. Фронт отправлял запрос на устаревший хост, а добавив 1 строчку в /etc/hosts мы стали единственными, у кого работала эта страница в дневнике
Можно было просто модифицировать http header. /etc/hosts именно это и делает :)
Во время исследования проблемы мы так и делали через Burp Proxy, но чтобы дать решение, которое смогли бы повторить все было потенциально 2 способа.
JS расширение и /etc/hosts
JS расширение отпало, потомучто запрос делал WASM, который мы не можем менять
/etc/hosts именно это и делает
Пруф?
Лабораторные МЭШ сделаны не безопасно, ага.
Ну и там физиконовские на сервер Физикона обращаются типа с xAPI, но он видать не настроен.
В общем, там Содом и Гоморра в этой МЭШ -)
Когда я был в школе, я делал своё исследование МЭШа. Если коротко: можно обычным пользователем(школьником) получить ответы.
Не уверен, что стоит об этом писать подробности, а то ещё и это прикроют.
Я вам ещё раскрою интересную особенность, которую поправили только пол месяца назад. При заходе на сайт, вам предлагали попробовать платформу через аккаунт гостя, у которого статичный токен который может получить любой, но вот в чем особенность, у него был доступ к эндпоинту который предоставлял ответы.
Как школьники МЭШ взломали